A Andrade Gutierrez, conglomerado brasileiro de construção que atua em 11 países, sofreu uma grande violação de seus sistemas de segurança.
Membros de um grupo de hackers que se auto intitula “Dark Angels” roubaram aproximadamente 3 TB de e-mails e informações privadas da companhia, incluindo: nomes, endereços de e-mail, passaportes, dados de pagamento, números de RG e CPF, e detalhes de seguro-saúde de mais de 10,6 mil funcionários atuais ou que já trabalharam na empresa. Os nomes, cargos, datas e outros detalhes contidos no vazamento correspondem a informações públicas verificadas pela reportagem.
Os hackers também obtiveram plantas arquitetônicas e projetos de engenharia em 3D da Andrade Gutierrez, incluindo portos e aeroportos, empreendimentos de saúde e mobilidade urbana, e também obras para a Copa do Mundo de 2014 e as Olimpíadas de 2016, como o estádio Beira-Rio em Porto Alegre e o Parque Olímpico no Rio de Janeiro.
Vários e-mails obtidos pelos hackers expuseram dados privados de funcionários e outras empresas – o que inclui logins e senhas para acessar o perfil oficial da Andrade Gutierrez nos portais de prefeituras e autoridades fiscais. A posse destes dados pode permitir o acesso a todos os tipos de documentos fiscais da empresa.
Analise do prejuízo
Uma fonte deu ao The Brazilian Report o acesso a uma amostra de 15 gigabytes que foi disponibilizada para download em um grupo no Telegram. De acordo com os hackers, o grupo tentou informar a Andrade Gutierrez da vulnerabilidade em seus servidores antes de publicar parte dos dados.
O vazamento ocorreu entre setembro e outubro de 2022, período no qual a Andrade Gutierrez entrou com um pedido de recuperação judicial, após acumular uma dívida de US$ 440 milhões.
O nome Andrade Gutierrez entrou no léxico popular brasileiro em 2015, quando executivos da companhia foram presos durante a Operação Lava Jato. Posteriormente, a empresa assinou um acordo de leniência, prometendo devolver R$ 1,5 bilhão aos cofres públicos, como contrapartida por práticas corruptas em obras para o governo federal.
Os hackers não deram detalhes específicos sobre como ou quando eles invadiram os sistemas da empresa para não serem identificados, mas disseram que a Andrade Gutierrez ignorou as tentativas de comunicação e que a vulnerabilidade do sistema da qual eles se aproveitaram permaneceria.
Por que se proteger?
O vazamento de dados tem muitas implicações. A primeira é que é uma falha que pode resultar em milhões de reais em multas pela Lei Geral de Proteção de Dados (LGPD), que começou a valer em 2020. Alain Juillet, ex-diretor da agência de inteligência francesa, cita outros riscos.
“De uma perspectiva empresarial, [o vazamento] expõe a companhia a concorrentes maliciosos que podem querer copiar designs e técnicas em outros mercados, como a África e a Ásia. Mas o maior risco é para a segurança pública. Um grupo terrorista com acesso a essas informações teria grandes oportunidades de causar danos” – Alain Juillet
The Brazilian Report decidiu não publicar documentos que possam eventualmente gerar riscos de segurança ou expor dados sensíveis. De acordo com a LGPD, em vigor desde setembro de 2020, empresas que sofrem vazamentos de dados devem notificar a Agência Nacional de Proteção de Dados (ANPD) e todas as pessoas e empresas cujos dados foram comprometidos..
Se a empresa não faz a notificação, pode ser multada em até 2% de sua receita, com valor máximo de R$ 50 milhões. A receita estimada da Andrade Gutierrez em 2023 é de R$ 5 bilhões. The Brazilian Report procurou a Andrade Gutierrez em 16 de fevereiro e 1º de março, mas a empresa disse que não iria comentar.
Desde que o vazamento ocorreu, a companhia não o admitiu publicamente. Há razões para acreditar que a companhia não tomou medidas para remediar a crise. The Brazilian Report também entrou em contato com a CCR, administradora de ativos de infraestrutura que a Andrade Gutierrez detinha há pouco tempo. Apesar de um grande volume de dados da CCR ter sido comprometido pelo vazamento, a empresa disse que “não estava ciente do problema”.
Como empresa de capital aberto, a CCR teria de ter informado os investidores sobre o vazamento se tivesse conhecimento dele. Já a ANPD disse que “não há informação pública” sobre o caso, acrescentando que qualquer investigação sobre descumprimento da lei seria mantida em sigilo de qualquer maneira.
O Brasil nisso tudo
O vazamento, um dos maiores da história recente, evidencia que as empresas brasileiras ainda contam com ferramentas inadequadas de segurança cibernética. O Brasil é um dos países do G20 mais atrasados em termos de segurança online, de acordo com o Índice de Defesa Cibernética do MIT Technology Review. O país ocupa a 18ª posição geral, atrás de economias emergentes como México e Índia.
A maior economia da América Latina ficou entre os cinco países com pior desempenho nos quatro pilares da pesquisa: 16º lugar em recursos de segurança cibernética, 17º em infraestrutura crítica, 18º em capacidade organizacional e 19º em comprometimento com políticas.
Segundo a Fortinet, o país registrou 31,5 milhões de tentativas de ataques cibernéticos a empresas apenas no primeiro semestre do ano passado.
Segundo Guilherme Guimarães, diretor jurídico da consultoria Datalege, a medida “dá força à agência reguladora” e abre caminho para que as empresas sejam punidas. O caso da Andrade Gutierrez pode ser oportunidade ideal para a ANPD começar este trabalho.
Athena Security e a adequação à LGPD
A jornada para alcançar o compliance à Lei Geral de Proteção de Dados Pessoais é uma transformação profunda na forma como a organização lida com seus ativos de dados. Além de questões técnicas e de cibersegurança, é fundamental mudar a cultura e a postura da empresa em relação à privacidade de dados, o envolvimento da alta gestão é fundamental para garantir que as políticas e práticas em relação ao tratamento de dados pessoais sejam incorporadas e seguidas por todos os interessados.
É neste contexto, que a Athena Security oferece o “Assessment & Adequação a LGPD”, para auxiliar sua empresa neste processo.
Fonte: Tilt Uol
